Google vient de publier une mise à jour critique de Chrome. La mise à jour corrige 26 failles de sécurité, dont trois vulnérabilités jugées critiques par les équipes de Google. Il est vivement conseillé de mettre à jour immédiatement le navigateur.
Google vient de déployer une nouvelle mise à jour de Chrome. Cette nouvelle version de Chrome colmate un total de 26 vulnérabilités identifiées dans le code du navigateur. La majorité des vulnérabilités ont été trouvées par des chercheurs externes. Parmi celles-ci, on trouve surtout trois failles considérées comme critiques par les équipes de Google.
À lire aussi : 300 000 utilisateurs Chrome ont été piégés par 30 fausses extensions IA
Trois failles critiques dans Google Chrome
La première faille critique se situe dans WebGL sur Chrome pour Android, la brique JavaScript qui permet de rendre des graphismes 2D et 3D interactifs dans un navigateur. Pour exploiter la faille, un attaquant doit mettre au point une page HTML contenant du contenu WebGL malveillant. Une fois que la cible se rend sur le site, le pirate pourra forcer Chrome à écrire en dehors des zones de mémoire qui lui sont attribuées. De fil en aiguille, il sera en mesure d’exécuter du code sur l’appareil, en l’occurrence un smartphone, en se faisant passer pour Chrome. L’attaquant peut alors installer un malware, voler des données, ou pivoter vers d’autres composants, encore plus critiques.
La seconde vulnérabilité se trouve également dans WebGL sur Chrome. Là encore, l’attaque repose sur une page HTML programmée à des fins malveillantes. La faille pourrait aboutir sur la lecture des données sensibles en mémoire, ainsi que sur le contournement des règles de sécurité de Chrome. Combinées à d’autres failles, la vulnérabilité peut déboucher sur la prise de contrôle totale du navigateur.
La dernière brèche critique identifiée par Google concerne cette fois le composant Base de Chrome. Il s’agit du moteur dont Chrome se sert pour gérer une grande quantité de tâches de bas niveau, comme la mémoire ou les structures de données. Quand la faille est exploitée, Chrome réutilise un morceau de mémoire déjà libéré, ce qui casse la logique interne du navigateur. Un attaquant peut en profiter pour s’octroyer le contrôle du navigateur. Là encore, l’attaque repose sur une simple page HTML. C’est pourquoi Google considère la faille comme critique.
À lire aussi : Vous allez devoir mettre Google Chrome à jour deux fois plus souvent
Pour colmater les brèches, Google vient de lancer le déploiement des versions 146.0.7680.153/154 de Chrome sur Windows/ macOS et de 146.0.7680.15 sur Linux. Dépêchez-vous d’installer la dernière mise à jour de Chrome sur votre ordinateur et sur votre smartphone. Dès qu’elle est disponible, ouvrez le menu À propos de Google Chrome, laissez le navigateur télécharger les correctifs puis cliquez sur Relancer pour finaliser l’installation. Pensez aussi à activer les mises à jour automatiques afin de rester protégé en permanence. Pour rappel, Google a déjà corrigé deux failles zero-day dans Chrome la semaine dernière.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.